【技术实现步骤摘要】
本专利技术涉及智能终端安全,具体地说,涉及一种基于工业控制系统入侵检测的关联分析方法。
技术介绍
1、工业控制系统(industrialcontrolsystem,ics)主要负责管理和控制各种工业设备按照生产要求执行各种任务。随着ics逐渐接入互联网,实现数据分析、远程操控等功能,越来越多的工控系统与互联网融合,走向了信息化、智能化的进程,但是由于传统工业控制设计之初并未考虑到外部安全问题,缺乏安全机制,在开放的网络环境中容易受到攻击,但防御能力弱,近年来,针对ics的网络攻击事件频繁发生,安全问题越来越严峻。由此出现了工业防火墙、plc漏洞挖掘等安全防护手段。但是这些技术属于被动防御技术,无法防御ics内部攻击,由此出现了基于工业控制系统的入侵检测技术,通过对ics中通信行为的实时监测、分析,发现异常行为和攻击。ics入侵检测系统可以分为基于特征的入侵检测和基于周期的入侵检测。基于特征的入侵检测主要通过分析ics的各种数据特征来判断异常,主要包括对流量、日志文件、传感器数值范围等进行分析,常见的方法包括两种,一是,基于机器学习的检测...
【技术保护点】
1.一种基于工业控制系统入侵检测的关联分析方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于工业控制系统入侵检测的关联分析方法,其特征在于:S1中,在工业控制系统中的各种设备内部署IDS入侵检测系统,通过主机型IDS进行日志监控、完整性检测、应用行为监控,监控并采集工业控制系统的主机安全事件;通过网络型IDS对网络数据包进行网络安全检测;通过部署不同的IDS,获取多种告警,作为关联分析的原始数据;
3.根据权利要求2所述的一种基于工业控制系统入侵检测的关联分析方法,其特征在于:S3中,对S2中统一格式表示的告警,选取时间窗口tw...
【技术特征摘要】
1.一种基于工业控制系统入侵检测的关联分析方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于工业控制系统入侵检测的关联分析方法,其特征在于:s1中,在工业控制系统中的各种设备内部署ids入侵检测系统,通过主机型ids进行日志监控、完整性检测、应用行为监控,监控并采集工业控制系统的主机安全事件;通过网络型ids对网络数据包进行网络安全检测;通过部署不同的ids,获取多种告警,作为关联分析的原始数据;
3.根据权利要求2所述的一种基于工业控制系统入侵检测的关联分析方法,其特征在于:s3中,对s2中统一格式表示的告警,选取时间窗口tw1,并去除每个窗口内的重复告警;根据不同类型告警的不同属性的权重,根据告警的具体类型计算相似度,设置告警的相似度阈值min_sim,当同一个时间窗口内的两个告警达到相似度阈值,视为重复告警,只保留第一次出现的告警,由此得到新的告警集合;
4.根据权利要求3所述的一种基于工业控制系统入侵检测的关联分析方法,其特征在于:s5中,选取fp-growth算法的最小支持度min_support,最小置信度min_conf参数,其中最小支持度用于确定告警项的频繁程度,如果告警项的出现次数小于最小支持度,则该告警项属于非频繁项集,并且包含该告警项的项集也属于非频繁项集,直接将该告警项从集合中删除;最小置信度是指规则前件发生的条件下后件也发生的条件概率,当规则的置信度小于最小置信度,说明两者不属于同一个频繁项集,并且两个没有关联。
5.根据权利要求4所述的一种基于工业控制系统入侵检测的关联分析方法,其特征在于:s6中,对于s4得到的分组后的二维序列,遍历每个告警项,用哈希表统计告警项的出现频率,将...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。